אלפי שרתים זדוניים מסתתרים באתרים הפופולאריים ביותר בעולם

שלמה יונה צילום יחסי ציבור
שלמה יונה צילום יחסי ציבור

לפי דוח 2021 TLS Telemetry Report של F5 Labs, אשר סרק מיליון אתרי אינטרנט מובילים בעולם, למעלה ממחצית משרתי האינטרנט עדיין מאפשרים החלפת מפתחות RSA (RSA Exchange) לא מאובטחת. בנוסף, שלילת האישורים נותרה בעייתית, כאשר שרתים ישנים, שמעודכנים לעתים רחוקות, נותרו מאד נפוצים. המחקר מצא גם שתוקפים לומדים כיצד להשתמש באבטחת שכבת התעבורה (TLS) לטובתם בקמפיינים של פישינג. במקביל, טכניקות חדשות של טביעת אצבע מעוררות שאלות לגבי שכיחות שרתים זדוניים, שמסתתרים במיליון האתרים המובילים.

"מדינות ופושעי סייבר כאחד מנסים לעקוף את הבעיות הנגרמות מהצפנה חזקה. מעולם לא היה חשוב יותר להתמקד בקונפיגורציות HTTPS חזקות ועדכניות, במיוחד כאשר האישורים הדיגיטליים משותפים בין שירותים שונים," אמר שלמה יונה, מנהל מגזר בריאות וטלקו – ישראל יוון וקפריסין.

שני צעדים קדימה, צעד אחד אחורה

F5 Labs גילתה שפרוטוקול TLS 1.3, המהיר והמאובטח יותר, הולך ותופס מקום של כבוד. בפעם הראשונה, TLS 1.3 הפך לפרוטוקול ההצפנה המועדף עבור רוב שרתי האינטרנט ברשימת Tranco 1M . כמעט 63% מהשרתים כוללים TLS 1.3, וכך גם מעל 95% מכל הדפדפנים בשימוש פעיל. עם זאת, התמיכה יכולה להשתנות באופן דרסטי. במדינות מסוימות, כמו ארה"ב וקנדה, עד 80% משרתי האינטרנט כוללים פרוטוקול זה, בעוד שבאחרות, כמו סין וישראל, רק 15% מהשרתים תומכים בו.

בינתיים, הרשומות ב-DNS Certification Authority Authorization שיכולות לסייע במניעת הנפקת אישורים במרמה, גדלו בשכיחותן משנת 2019 (1.8% מהאתרים) ל-2021 (3.5%). F5 Labs מאמינה שהדבר מייצג עלייה חיובית ויציבה אך גם מדגים כמה אתרים עדיין משתמשים בהן.

בעוד שכמעט כל השרתים ברשימה העליונה כוללים הסכמי מפתחות מאובטחים של Diffie-Hellman, 52 אחוז מהשרתים עדיין אפשרו שימוש ב-RSA key exchanges לא מאובטחים (אם זה כל מה שהלקוח יכול לתמוך בו).

יתר על כן, המחקר של F5 Labs הראה כיצד שיטות שלילת האישורים נשברות כמעט לחלוטין. הדבר גורם לעליה ברצונם של רשויות האישורים ושל תעשיית הדפדפנים להתקדם לעבר אישורים לטווח קצר במיוחד. שלילת אישור גנוב הופך לבעיה קטנה יותר אם תוקפו פג תוך מספר שבועות בלבד. אורך החיים הנפוץ ביותר של אישור היה 90 יום, דבר שהיה קיים במעל ל-42 אחוז מכלל האתרים.

סיכוני האבטחה במגמת עלייה

על פי הדוח של F5 Labs מספר אתרי הפישינג המשתמשים ב-HTTPS הכוללים אישורים תקפים כדי להיראות לגיטימיים, גדל מ-70% בשנת 2019 לכ-83% בשנת 2021. מקורם של כ-80% מהאתרים הזדוניים הינו כעת מ-3.8% בלבד מספקי האחסון. מבחינת ספקי שירות, תוקפי פישינג נטו להעדיף מעט את Fastly, עם Unified Layer, Cloudflare ו-Namecheap.

Facebook ו-Microsoft Outlook/Office 365 היו המותגים המזויפים הנפוצים ביותר בהתקפות פישינג. לאישורים גנובים מאתרים אלה יש ערך רב, בין השאר משום שכל כך הרבה חשבונות אחרים נוטים להסתמך עליהם כספקי זהות (IdP) או כפונקציית איפוס סיסמה. F5 Labs מצאה גם שפלטפורמות הדואר האינטרנטי היוו 10.4% מפונקציות האינטרנט המתחזות, שיעור גבוה כמעט כמו פייסבוק. המשמעות היא שההתקפות פישינג נגד דואר אינטרנטי הן נפוצות כמו התקפות נגד חשבונות פייסבוק.

העבודה נמשכת

"ברור שאנו עומדים בפני שתי מציאויות חשובות לקראת 2022," הוסיף יונה. "האחת היא שהרצון ליירט, לעקוף ולהחליש הצפנה מעולם לא היה גדול יותר. פושעי סייבר עובדים מסביב לשעון כדי להביס את הבעיות שגורמת הצפנה חזקה, ומחפשים דרכים יצירתיות ליירט או ללכוד מידע לפני או אחרי ההצפנה שלו. השנייה היא שהחולשות הגדולות ביותר אינן נובעות מהפיצ'רים העדכניים ביותר שאנו נאבקים לאמץ, אלא מפיצ'רים ישנים שאנו לא ששים להשבית. עד ששני הנושאים הללו יטופלו ביתר שאת, חשוב להעמיד בראש סדר העדיפויות את השימוש בפרוטוקולים תומכים, כגון DNS CAA ו-HSTS, כדי להבטיח שלא ניתן יהיה לנצל את הפערים הקטנים בחוזק של ה-HTTPS."

על המחקר

רוב הנתונים במחקר זה הם מסריקות Cryptonice של האתרים הפופולריים ביותר הרשומים ברשימת המיליון המובילים של Tranco top 1M list, המדרגת מיליון דומיינים פופולריים. אנחנו מסתכלים על אתרי פישינג כפי שדווחו על ידי OpenPhish ומוסיפים את הממצאים שלנו בשילוב נתוני לקוח (דפדפן) שנלכדו על ידי Shape Security כדי לקבל הבנה ברורה של הדפדפנים והבוטים הנפוצים ביותר. בקרו ב-F5 Labs לפרטים נוספים.

אהבתם ? שתפו

רוצים לקרוא עוד ?